出版日期：2001-01-11　总期号：989　本年期号：04

本期导读 新闻与分析 电子商务 互联技术 互联市场 网络与通信

公共漏洞和暴露CVE 安氏中国首席技术官 潘柱廷 　　CVE是个行业标准，为每个漏洞和暴露确定了惟一的名称和标准化的描述，可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准。 　　CVE的英文全称是“Common Vulnerabilities & Exposures”（公共漏洞和暴露）。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。 　　CVE条目举例 　　Land是一个非常著名的拒绝服务攻击的例子，该攻击的主要原理就是构造一个伪造源地址等于目的地址的IP数据包。当存在相应漏洞的主机收到这样的攻击包，会由于不断地自我响应造成系统资源的过度消耗而崩溃。 cve 版本: 20001013 名称 cve-1999-0016 描述 land ip拒绝服务 参考引用： cert: ca-97.28.teardrop_land freebsd: freebsd-sa-98:01 hp: hpsbux9801-076 cisco: http://www.cisco.com/warp/public/770/land-pub.shtml iss-xf: cisco-land iss-xf: land iss-xf: 95-verv-tcp iss-xf: land-patch iss-xf: ver-tcpip-sys 条目创建时间：1999.9.29 　　在许多种漏洞数据库中都有相应的条目，但是说法各不相同，有Land、 Teardrop_land、 land.c、Impossible IP packet、Land Loopback Attack等等多种命名方法，用户无所适从。 　　如果有了CVE这个公共的命名标准，所有的漏洞库都会对应到CVE字典。在CVE字典中会出现一个共同认可的名称和描述，如表所示。 　　CVE的应用 　　用户选择产品 　　用户和网络安全管理员可以通过采用“CVE兼容”的产品，或者要求你的安全产品厂商达到CVE兼容的水平，以保证企业级安全应用的需求。在选择相应的产品时候，用户完全可以用CVE作为评判工具的标准。 　　用户实施风险评估 　　在风险评估中最重要也是最困难的两个环节就是风险的量化，以及找到风险项后如何寻找控制措施，CVE给了我们非常好的指导去进行风险评估中的技术评估。用户完全可以参考CVE字典和相应的数据库建立自己企业的风险评估指标体系，而且所有的这些风险项都可以通过CVE索引迅速地找到相应的修补控制措施。 　　厂商开发产品 　　安全工具厂商和漏洞库管理者通过符合CVE标准，为客户提供CVE兼容的工具和数据库，以便达到更好的风险控制覆盖范围，实现更容易的协同工作能力，提高客户整个企业的安全能力。